Всё о секретах программного обеспечения и онлайновых сервисов
Яндекс.Метрика

Как избежать штрафа за нарушение обработки персональных данных

Компания «Смарт-Софт», занимающаяся разработкой специализированных продуктов для решения задач управления и контроля за сетевым трафиком, рассказывает в подробностях о том, почему закон о персональных данных касается 85% российских организаций и как работать с личной информацией в соответствии с требованиями закона.

С персональными данными физических лиц работают практически все отечественные компании. Но не все руководители знают, как правильно обрабатывать полученную личную информацию, чтобы не нарушить административный закон.

Почему это важно сейчас?

До недавнего времени размер штрафа за нарушение обработки персональных данных был относительно несущественным. С июля текущего года начнёт действовать закон, который увеличит ответственность в десятки раз.

Кроме того, сейчас протоколы о нарушениях может выписывать только прокуратура, с 1 июля такая возможность появится у Роскомнадзора, который имеет право не уведомлять о плановых проверках коммерческих организаций и ИП (с 1 сентября 2015 года проверки по соответствию закону «О персональных данных» вышли из под действия закона 294-ФЗ «О защите бизнеса при проверках»), а регулирует свою деятельность только внутренним административным регламентом.

Как избежать штрафа за нарушение обработки персональных данных

Что изменил Федеральный закон от 07 февраля 2017 года №13-ФЗ?

Данный нормативный акт внёс поправки в действующий КоАП, которые существенно увеличат ответственность организаций за нарушение правил обработки персональных данных.

Также законодатель вводит семь новых составов административных правонарушений в данной сфере. Уже с 1 июля 2017 года указанные поправки вступят в юридическую силу.

Штрафы увеличены в несколько раз

До изменений законодательства максимальный штраф для юридического лица составлял 10 тысяч рублей, а для должностного лица – 1 тысячу рублей.

Сейчас размер максимального штрафа вырос до 75 тысяч рублей, также увеличилось количество составов правонарушения.

Ниже представлена таблица, в которой наглядно показаны изменения размеров штрафа для юридических лиц (ПД – персональные данные):

Руководителям организаций следует знать, что помимо привлечения к административной ответственности и соответственно уплаты штрафа, нарушитель несёт также материальную, дисциплинарную, а в особых случаях и уголовную ответственность. Оплата административного штрафа грозит не только юридическому лицу-нарушителю, но и непосредственно работнику, совершившему правонарушение, а также сотруднику, ответственному за обработку таких данных на предприятии, в том числе и юристу организации, разрабатывающему локальные акты о конфиденциальности информации.

Какие личные сведения попадают под действие закона?

Персональными данными можно называть любые сведения о жизни гражданина, с помощью которых возможно идентифицировать его личность.

Например:

  • ФИО, дата рождения;
  • адрес регистрации, фактического проживания, мобильный телефон;
  • данные общегражданского и заграничного паспорта;
  • семейное, имущественное, социальное положение;
  • национальность, вероисповедание;
  • образование, место работы, занимаемая должность, уровень доходов;
  • биометрические персональные данные;
  • иная аналогичная информация.

Кто является операторами персональных данных?

Практически любая организация в РФ в своей работе сталкивается с хранением и обработкой персональных данных своих штатных работников.

Кроме того, в работу попадают личные данные клиентов компании, контрагентов, посетителей территории предприятия (если действует пропускная система), пользователей сайта.

Операторами персональных данных автоматически становятся все гостиницы, отели, хостелы и подобные организации, которые в силу своей деятельности обязаны собирать, обрабатывать, направлять в ИФМС личные данные своих постояльцев.

По самым приблизительным подсчётам экспертов, операторами ПД можно назвать более 85% всех российских юридических лиц.

Приведём примерный перечень организаций, на которых распространяется действие указанного закона:

  • банки и иные кредитные финансовые учреждения;
  • государственные учреждения;
  • операторы мобильной связи;
  • туристические агентства;
  • гостиницы, хостелы, отели;
  • организации здравоохранения (больницы, санатории, частные клиники);
  • учреждения образования (школы, дошкольные учреждения, высшие учебные и средне-специальные заведения);
  • компании, имеющие официальный сайт с возможностью регистрации пользователей;
  • предприятия, которые хранят данные о сотрудниках, клиентах, посетителях.

Следует иметь в виду, что закон не касается случаев, когда личная информация передаётся в личных или семейных целях. К примеру, если ваш приятель дал номер своего телефона или домашний адрес, это, безусловно, не сделает вас субъектом вышеуказанных правоотношений.

Как правильно работать с личными данными физлиц, чтобы не нарушить закон?

Для начала необходимо убедиться, что вы являетесь оператором персональных данных.

Если все-таки действие закона распространяется на вашу организацию, необходимо в должной степени обеспечить безопасность обрабатываемой информации. Осуществить это возможно с помощью определённых организационных и технических мер.

К организационным мерам относится:

  • создание на предприятии Положения о защите персональных данных персонала;
  • получение согласия субъекта на обработку его личных данных. Согласие даётся в свободной форме, но обязательно должно быть изложено максимально конкретно, содержать перечень способов обработки, срок и порядок отзыва.

К техническим мерам относится:

  • если в компании отсутствует автоматизированная обработка данных, рекомендуется определить перечень лиц, имеющих доступ к сведениям и уполномоченных на работу с ними, а также раздельно хранить материальные носители информации, которая обрабатывается в разных целях;
  • в случае, если в организации заведена обработка данных с помощью автоматизированных систем, она попадает под требования приказа ФСТЭК России, а для обеспечения безопасности привлекаются IT-специалисты. Все ПК, на которых ведётся работа с использованием конфиденциальной личной информации, должны быть аттестованы, иметь сертифицированное ФСТЭК программное обеспечение, а сама сеть должна иметь защиту сертифицированного межсетевого экрана.

Согласно «Требованиям к межсетевым экранам» (ФСТЭК России, 2016) для защиты логической границы сети достаточно сертифицированного программного обеспечения, для физической границы необходим сертифицированный аппаратно-программный комплекс.

Источник: пресс-служба компании «Смарт-Софт»